Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Появился Downloader (заявка № 10966)

  1. #1
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    40

    Thumbs up Появился Downloader

    Здравствуйте!:-)
    Возникла такая неприятная проблема.
    Постоянно выскакивает сообщение от Symantec Anti-Virus, что компьютер заражён Downloader'ом. Пытался удалить при помощи Dr.Web CureIt, но мои попытки не увенчались успехом. Поэтому высылаю вам логи в надежде, что вы поможете мне.
    Все пунты Правил выполнил.
    Последний раз редактировалось ghostil; 26.07.2007 в 16:38.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1290
    Отключитесь от сети.
    Закройт все программы. Отключите антивирус.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
     SearchRootkit(true, true);
     QuarantineFile('E:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('E:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('E:\WINDOWS\system32\12520437b.exe','');
     QuarantineFile('E:\WINDOWS\system32\wsnpoem\video.dll','');
     DeleteFile('E:\WINDOWS\system32\ntos.exe');
     ExecuteSysClean;
     BC_DeleteFile('E:\WINDOWS\system32\ntos.exe');
     BC_Activate;
     RebootWindows(false);
    end.
    Компьютер перезагрузится.
    Пришлите то, что попадет в карантин так, как написано в приложении 3 Правил.

  4. #3
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    40
    Скрипт выполнил и закачал карантин.
    Жду от Вас вестей.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    ntos.exe - Trojan-Spy.Win32.Bancos.aam.

  6. #5
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    40
    Как я понимаю, мне надо удалить этот файл, да?

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Его уже удалили. Это просто к сведению.

  8. #7
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    40
    Просто дело в том, что SAV, всё равно, выдаёт этот вирус

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    12520437b.exe - Backdoor.Win32.IRCBot.abc

    Выполните скрипт в AVZ
    Код:
    begin
     BC_DeleteFile('E:\WINDOWS\system32\12520437b.exe');
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    O23 - Service: Смарт-карты SCardSvrERSvc (SCardSvrERSvc) - Unknown owner - E:\WINDOWS\system32\12520437b.exe
    Повторите логи.

  10. #9
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    40
    Спасибо, сейчас выполню указания.

  11. #10
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    40
    Всё выполнил!Вот новые получившиеся логи.
    Что можете сказать, док?
    Последний раз редактировалось ghostil; 26.07.2007 в 16:38.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
     BC_DeleteSvc('SCardSvrERSvc');
     BC_DeleteFile('E:\WINDOWS\system32\ntos.exe');
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe,E:\WINDOWS\system32\ntos.exe,
    Повторите логи.

  13. #12
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    40
    Вот, какие логи получились в этот раз. По-моему, всё чисто.
    Последний раз редактировалось ghostil; 26.07.2007 в 16:38.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Почти чисто. Запустите AVZ - Сервис - Менеджер автозапуска. Удалите строчку "E:\WINDOWS\system32\ntos.exe" и сделайте для контроля лог virusinfo_syscheck.zip.

  15. #14
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    40
    Будет сделано! :-)

  16. #15
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    40
    Удалил указанный вами файл. Вот лог.
    Последний раз редактировалось ghostil; 26.07.2007 в 16:38.

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Ещё вопрос. У Вас был\есть какой-нибудь "ускоритель интернета" или p2p-клиент?

  18. #17
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    40
    Нет, ничего такого не имеется.

    Добавлено через 1 минуту
    а вот по поводу, был ли, ничего сказать не могу, поскольку сам недавно тут работаю
    Последний раз редактировалось ghostil; 11.07.2007 в 13:48. Причина: Добавлено сообщение

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    А если посмотреть папку Program Files? Нет ли там остатков? Хочется выяснить кто патчил tcpip.sys.

  20. #19
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    40
    к сожалению, остатков нет

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    У вас есть дистрибутив Windows XP SP2?

  • Уважаемый(ая) ghostil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 18.03.2010, 12:00
    2. Ответов: 6
      Последнее сообщение: 22.12.2009, 13:03
    3. Появился, порнобаннер
      От okurok126 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 12.08.2009, 20:04
    4. появился cologsver.exe
      От refzul в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.12.2007, 19:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00211 seconds with 16 queries